犐犆犛犔中华人民共和国国家标准犌犅代替犜信息安全技术数据库管理系统安全评估准则犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔犛犲犮狌狉犻狋狔犲狏犪犾狌犪狋犻狅狀犮狉犻狋犲狉犻犪犳狅狉犱犪狋犪犫犪狊犲犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿发布实施国家市场监督管理总局中国国家标准化管理委员会发布犌犅犜目次前言范围规范性引用文件术语和定义缩略语术语和定义缩略语评估总则概述评估要求评估环境评估流程评估内容安全功能评估安全保障评估评估方法附录资料性附录标准修订说明犌犅犜前言本标准按照给出的规则起草本标准代替信息安全技术数据库管理系统安全评估准则与相比除编辑性修改外主要技术变化如下修改了第章术语和定义及缩略语见和年版第章修改了第章安全环境标题修改为评估总则描述了数据库管理系统总体要求评估要求评估环境和评估流程见第章年版第章修改了第章评估内容按照定义了中的安全功能组件和安全保障组件评估内容见第章年版第章删除了附录数据库管理系统面临的威胁和对策见年版附录按照评估保障级概念列出了和组件列表及评估准则请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位中国信息安全测评中心清华大学北京江南天安科技有限公司公安部第三研究所北京大学武汉达梦数据库有限公司天津南大通用数据技术股份有限公司本标准主要起草人张宝峰毕海英叶晓俊王峰王建民陈冠直陆臻沈亮顾健宋好好赵玉洁吉增瑞刘昱函刘学洋胡文蕙付铨方红霞冯源李德军本标准所代替标准的历次版本发布情况为犌犅犜信息安全技术数据库管理系统安全评估准则范围本标准依据规定了数据库管理系统安全评估总则评估内容和评估方法本标准适用于数据库管理系统的测试和评估也可用于指导数据库管理系统的研发注本标准规定的级级级的评估内容和评估方法既适用于基于所有部分的数据库管理系统安全性测评同样适用于基于的数据库第二级系统审计保护级第三级安全标记保护级第四级结构化保护级的数据库管理系统安全性测评相关对应关系参见附录中规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改版适用于本文件信息技术安全技术信息技术安全评估准则信息安全技术数据库管理系统安全技术要求信息安全技术术语信息技术安全技术信息技术安全性评估方法术语和定义缩略语术语和定义和界定的术语和定义适用于本文件缩略语下列缩略语适用于本文件通用准则通用准则评估方法配置管理数据库管理系统评估保障级评估技术报告基于标签的访问控制观察报告保护轮廓安全功能策略结构化查询语言安全目标评估对象犌犅犜控制范围安全功能接口安全策略概要规范评估总则概述本标准依据给出了定义的数据库管理系统评估对象安全功能组件和安全保障组件的评估内容和评估方法评估要求在对数据库管理系统进行安全评估时首先依照的安全目标评估方法完成对的评估在此基础上对的安全功能和安全保障进行评估安全功能评估目标是保证定义的安全功能组件设计与实现的完整性和正确性一般通过对发起者提供的评估证据分析和安全功能独立性测试确保安全功能满足其安全目标声称的功能要求独立性测试应依据数据库产品厂商提供的一系列评估证据如分析设计与测试文档和安全策略由评估者按照中的对开发者提供的评估对象证据材料进行分析并按照评估保障级的不同对安全功能组件进行抽样测试或评估者自己设计相应的测试用例独立地完成安全功能组件的功能测试验证的实现符合数据库管理系统概要规范安全保障评估目标是发现在设计与实现中的缺陷或脆弱性以便在评估过程中要求开发者纠正评估对象相应的错误从而减少在发布后运行过程中安全功能失效发生的可能性因此安全性评估要求测试人员在模拟真实应用环境下测试是否能抵御各种安全攻击以确定该评估对象是否存在潜在的安全弱点或安全漏洞穿透性测试技术是消除在设计或实现中的缺陷或脆弱性的有效方法测试人员需依照数据库产品的通信协议结构化查询语言数据库开发接口存储过程函数等安全攻击面评估证据资料通过模糊测试等穿透性测试技术对安全功能组件实现机制的可信性进行测试以确保安全功能组件的设计实现和测试不存在未知的弱点缺陷评估环境在不同的网络环境和服务器环境支持下通用数据库产品提供多种安全策略和安全控制机制的解决方案以满足评估对象消费者的安全要求数据库管理系统的测试环境分为类非集群数据库服务测试环境和集群数据库服务测试环境集群测试环境又细分为共享存储的集群测试环境和非共享存储的集群测试环境应根据安全评估基本原则过程和规程的体系选择某个测试环境对数据库产品安全功能和安全保障进行评估数据库管理系统安全组件的每个评估活动都包含两个通用的评估任务评估证据输入评估评估发起者应向安全评估机构提供安全评估所有必需的评估材料评估发起者应按照准备或开发相关的评估证据评估者应对这些输入要求进行评估安全评估机构的输出任务评估的目的是评估输出的观察报告和评估技术评估结果输出评估犌犅犜报告应满足评估结果的可重复性和可再现性原则并应保持各种报告信息类型和数量的一致性评估流程根据的安全评估过程包括评估准备评估实施评估结果等阶段具体如下评估准备阶段评估发起者应按照给评估者提供安全目标评估者分析其可行性评估者可能会需要发起者提供其他评估相关的辅助信息评估发起者或者开发者会给评估者提供一部分待评估物评估者审查安全目标然后告知发起者对某些内容进行必要的补充完善以方便未来评估过程的实施当评估者认为评估发起者对评估所需要的资料都准备齐全了则评估过程进入下一阶段评估实施阶段评估者生成包括待评估产品列表评估活动以及基于评估方法的抽样要求等文档的可行性研究报告发起者和评估者在评估准备阶段签署一项协议该协议包含评估的基本框架同时要考虑到评估体制的局限性以及国家法律和法规的任何要求协议签订后评估者即可进入评估实施阶段在此阶段包含的主要活动内容有评估者检查发起者或者开发者应交付的评估物然后按照进行必要的评估活动在评估阶段评估者可能会撰写观察报告该报告里评估者会向监管者评审机构询问如何满足其监管的要求监管者对评估者的解释请求进行回应然后允许进行下一步评估监管者同样可能确认和指出一些潜在的缺陷或者威胁然后要求发起者或者开发者提供额外的信息资料评估最终结果阶段评估者根据文档审核测试情况现场检查结果对进行综合评判并撰写评估技术报告评估内容安全功能评估概述在安全功能组件评估内容描述中方括号中的黑体字内容表示已经完成的操作黑斜体字内容表示还需在安全目标中由作者确定赋值及选择项安全审计犉犃犝类审计数据产生犉犃犝犌犈犖审计数据产生组件应按照安全目标设定的数据库标准审计和细粒度审计策略自动产生相应的审计事件记录信息该组件安全评估内容如下应测试评估对象提供的不同级别审计策略能产生下述可审计事件记录数据库审计功能的启动和关闭数据库实例及其组件服务的启动和关闭数据库实例配置参数非缺省值修改事件数据库对象结构修改事件列出的数据库审计级别最小的可审计事件其他面向数据库安全审计员的可绕过访问控制策略的特殊定义赋值犛犜作者定义的审犌犅犜计事件的可审计事件未指定审计级别赋值数据库对象数据操作级别的细粒度审计的事件的所有可审计事件应检查审计记录中至少包含如下信息事件类型事件发生日期和时间主体关联身份组角色涉及的数据库对象产生审计事件的主机信息事件操作结果成功或失败应根据评估对象赋值犛犜作者指定的审计事件和规定的格式赋值数据类型与格式来生成审计数据对于每个审计事件类型基于中包括的安全功能组件的可审计事件定义应检查数据库管理系统的审计数据产生策略配置管理或工具确认审计数据产生机制与功能有效性用户身份关联犉犃犝犌犈犖用户身份关联组件应将审计事件与主体身份相联系满足可审计事件追溯到单个数据库用户身份上的要求该组件安全评估内容如下审计记录中应能查看到每个审计事件是否与引发审计事件的用户身份关联信息审计记录中应能查看到每个审计事件是否与引发审计事件的赋值犛犜作者指定的用户身份鉴别方式相关联的数据库会话信息应检查提供将审计记录中用户身份与用户所属组角色身份关联查看辅助视图或管理工具确认能看到用户身份关联信息审计查阅犉犃犝犛犃犚审计查阅组件为授权管理员提供获得和解释审计数据的能力该组件安全评估内容如下应测试能否从审计记录中阅读和获取下面所列出的审计信息用户身份标识审计事件类型数据库对象标识评估对象指定的赋值犛犜作者指定的审计事件应测试是否以使用户理解的方式提供满足查阅条件的审计记录阅读与管理界面如图形界面应测试当授权用户是外部实体时审计数据应以规范化电子方式无歧义地表示应测试是否禁止所有未授权用户对审计数据的访问限制审计查阅犉犃犝犛犃犚限制审计查阅组件只允许授权管理员查阅部分审计数据该组件安全评估内容如下应测试是否能依据选择主体标识主机标识客体标识赋值犛犜作者指定审计条件查阅审计信息应测试是否能依据选择成功可审计安全事件失败可审计安全事件赋值犛犜作者指定其他选择条件查阅审计信息应测试是否能依据选择数据库系统权限数据库对象权限赋值犛犜作者指定权限级别查阅审计信息应测试管理审计数据授权控制机制和审计数据授权管理员安全管理员控制授权管理员访问犌犅犜审计数据的赋值犛犜作者指定角色系统权限应测试是否允许安全管理员或授予审计数据查阅权限的授权管理员访问审计数据视图或接口应测试是否禁止所有未授权用户对审计数据的访问可选审计查阅犉犃犝犛犃犚可选审计查阅组件允许授权管理员根据指定的搜索条件来选择要查阅的审计数据该组件安全评估内容如下应测试是否能依据审计数据字段中值的搜索与分类条件对审计记录进行搜索筛选授权管理员关心的审计数据应测试是否能对返回审计数据进行排序和汇总统计应测试是否允许授权管理员使用选择犛犙犔语句赋值犛犜作者指定方式搜索审计数据和对审计数据排序应测试是否提供访问审计数据的应用开发接口能力或审计数据分析辅助工具应测试是否禁止所有未授权用户对审计数据的访问选择性审计犉犃犝犛犈犔选择性审计组件定义了向可审计事件集中加入或从中排除事件的能力该组件安全评估内容如下应测试是否能根据选择客体身份用户身份组身份主体身份主机身份赋值犛犜作者指定主体属性从审计事件集中选择可审计事件应测试是否能根据选择数据库系统权限语句级审计权限级审计模式对象级审计列级数据权限行级数据权限赋值犛犜作者指定用户操作权限级别从审计事件集中选择可审计事件选择成功失败二者可审计安全事件选项赋值犛犜作者指定条件从应测试是否能根据审计事件集中选择可审计事件应测试是否能根据产品审计功能相关的附加属性列表从审计事件集中选择可审计事件审计数据可用性保证犉犃犝犛犜犌审计数据可用性保证组件保证数据库管理系统的审计数据存储出现意外情况时还能维护产生的审计数据该组件安全评估内容如下应测试是否能提供数据库系统表或外部文件方式保存审计事件数据维护审计数据授权控制和审计数据存储管理的能力应测试维护控制审计事件数据存储能力参数